欧州連合(EU)は5月25日、個人情報に関して世界で最も厳しい規制とされる「一般データ保護規則(GDPR)」を施行した。データを本人がコントロールする権利を明文化し、域外への個人情報の転送を厳しく取り締まる同規制に、日本企業の多くはまだ対応ができていない。

 一部ではGDPRよりも大きな波紋を呼びそうな「eプライバシー規制」の準備も進んでいる。ユーザーのオンライン上の行動を追跡できる、「クッキー」の取り扱いが大きく変わる可能性がある。違反企業に対する課徴金の最大額もGDPRと同じ、世界売上高の4%か2000万ユーロ(約26億円)の高い方という途方もない金額になる見込みだ。

EUは個人情報保護に向け、強力な規制を施行した(写真:ユニフォトプレス)

 リスクマネジメントに関して助言するニュートン・コンサルティング(東京・千代田)が5月9日に発表したアンケート調査(調査期間は4月下旬~5月上旬)では、GDPRについて「対応している」と答えた会社はわずか21%しかない。莫大な課徴金におののきつつも「取り締まりの実例がないあいだは後回しにする企業が多いのではないか」(個人情報に詳しいある弁護士)。

 GDPRについて、日本企業が最も注目してきたのが「第三国への移転」に関する規制だ。欧州の提携企業が取得した個人情報を欧州域外に持ち出しする際は、個別にユーザーの保護などに関する契約を両者の間で結び、当局の承認を得なければならない。

 しかし、実はこの問題は出口が見えてきている。欧州委員会は昨年10月、欧州がユーザー保護の体制が整っていると認めた国や地域に付与する「十分性認定」を日本にも付与する方針を明言した。認定を受ければ、個人情報の転送を自由にできるようになる。日本の個人情報保護委員会は認定に向けて日本企業が対応すべき5項目を掲げた。例えば取り扱いを特段慎重にする必要がある「要配慮個人情報」に「性的嗜好」や「労働組合での活動内容」を含めることなどだ。

 GDPRに詳しいあるコンサルタントは「この5項目に対応するのは、それほど難しくない。しかし、欧州と日本の法制度の違いを棚上げしたまま議論が進んでいる」と指摘する。その違いが「クッキー」の取り扱いだ。

「ポップアップ」だらけの欧州サイト

 まずは、こちらのリンクをクリックしてほしい。表示されるのは、日本経済新聞の子会社である英フィナンシャル・タイムズのウェブサイトだ。過去にこのサイトを訪れたことがない場合、ウェブブラウザーのどこかにクッキーの利用を求める「ポップアップ」が表示されているはずだ。日本ではあまりお目にかからないこうしたポップアップが、欧州のサイトでは頻繁に表示される。クッキーに対する考え方が、日本と欧州では異なるからだ。

 クッキーは、サイト側が利用者のパソコンやスマートフォンと言った端末を識別するための「目印」のようなものだ。例えば、EC(電子商取引)サイトでは、会員IDとパスワードでログインする前でも、カートの中に欲しい商品を入れておくことができるだろう。これはクッキーによりサイト側がそれぞれの端末を区別しているからできることだ。